活动目录组织单位

Active Directory 中的 OU 是什么？

组织单位 (OU) 是 Active Directory 中的一种容器。一个 OU 可以包含一个或多个 AD 对象，例如用户帐户、计算机帐户、打印机和组。

组织单位与文件夹类似，因为它们可以分层排列以表示组织的结构。例如，您可以为域中的所有用户帐户拥有一个 OU，并为每个分部或部门拥有子 OU。这些 OU 可以有自己的子 OU。您可以根据职能、部门、位置或其他相关标准创建 OU。

您可以为计算机对象创建类似的层次结构。例如，您可以将所有标准打印机放置在一个 OU 中，将所有彩色激光打印机放置在另一 OU 中。您还可以使用 OU 来有效管理运行不同版本 Windows 操作系统的计算机。

Active Directory 组织单位的好处

您在 OU 的精心规划上投入的时间是值得的。事实上，精心设计的 OU 结构可带来广泛的好处，包括更强的安全性和更轻松的管理：

• 精确且准确的安全控制 - 通过将用户、计算机和其他 AD 对象组织到逻辑 OU 中，您可以更轻松地将特定的安全控制应用于不同的对象。特别是，组策略 (GPO) 可以链接到 OU，以将其设置应用于特定的对象组。例如，您可以使用组策略为关键服务器应用比用户工作站更短的非活动锁定时间，或者对管理帐户施加比企业用户帐户更严格的密码要求。
• 轻松委派管理任务 - OU 还使您能够将特定权限委派给业务用户，而不必授予他们广泛的管理权限。例如，您可以让帮助台技术人员为所有 AD 域用户或仅为特定子 OU 中的用户重置密码。

如何使用 Active Directory 用户和计算机 (ADUC) 管理 OU

创建组织部门

1. 右键单击要在其中创建新 OU 的域或 OU。
2. 点击新建，然后点击组织部门。

• 输入新 OU 的名称。
• 单击确定。

重命名组织部门

1. 右键单击要重命名的 OU。
2. 选择重命名。

• 指定新名称。

移动组织部门

1. 右键单击要移动的 OU。
2. 选择剪切。

• 导航到目标位置并单击粘贴。

删除 OU

注意：删除 OU 将删除该 OU 中的所有对象。要删除 OU，请执行以下步骤：

1. 右键单击要删除的 OU。
2. 选择删除。

• 确认动作。

使用组织部门委派权限

您可以使用 OU 将特定的管理职责委派给指定的用户或组。采取以下步骤：

1. 右键单击所需的 OU。

选择委派控制并按照向导中的步骤操作

如何使用 Active Directory 用户和计算机 (ADUC) 管理 OU

Windows PowerShell 提供了一种在 Active Directory 域中高效创建和管理 OU 的强大方法。

如何使用 PowerShell 创建 Active Directory OU

要在域的根目录中创建 OU，请使用以下 PowerShell cmdlet：

New-ADOrganizationalUnit -Name "Engineering"

要在现有容器中创建 OU，请添加 -Path 参数：

New-ADOrganizationalUnit -Name "NewOU" -Path "OU=ParentOU,DC=domain,DC=com"

如何使用 PowerShell 管理 Active Directory OU

以下是可用于管理 OU 的其他 PowerShell cmdlet：

• 检索 OU 的属性 — Get-ADOrganizationalUnit

Get-ADOrganizationalUnit -Identity 'OU=Engineering,DC=MILKYWAY,DC=LOCAL'

• 修改 OU 的属性 - Set-ADOrganizationalUnit

Set-ADOrganizationalUnit -Identity "OU=Engineering,DC=MILKYWAY,DC=LOCAL" -Country "US" -StreetAddress "350 S. Bixel Street" -City California -State CA

• 删除 OU —Remove-ADOrganizationalUnit

Remove-ADOrganizationalUnit -Identity "OU=Engineering,DC=MILKYWAY,DC=LOCAL" -Recursive

Active Directory 中的默认容器和 OU

在 Active Directory 安装期间，默认情况下会创建多个容器，包括一个 OU。

域控制器 OU

安装 AD 时默认创建的唯一 OU 是域控制器 OU。域控制器 (DC) 添加到域时会自动放入此 OU 中。 （DC 是运行 Active Directory 并提供域身份验证和授权等服务的服务器。）

默认情况下，一组策略应用于此 OU。为了保护 DC 的安全和功能，请将所有 DC 计算机对象保留在此 OU 中。

默认情况下，服务管理员控制域控制器 OU。请勿将此 OU 的控制权委托给其他个人或团体。

其他内置容器

Active Directory 安装期间创建的其他容器包括：

• 域 - 这是域的根容器。
• 内置 - 默认情况下用于服务管理员帐户。
• 用户 - 默认情况下，创建的新用户帐户和组放置在此处。
• 计算机 — 默认情况下，新计算机帐户放置在此处。

请注意，这些容器不是OU，因此您无法对其应用组策略。

使用 OU 的最佳实践

• 仔细规划您的 OU 结构。考虑您希望如何组织您的用户帐户、计算机和其他 AD 对象。考虑部门、角色、位置和设备类型等因素。花在计划上的每一分钟都会在未来得到回报！
• 创建分层 OU 结构。这将允许您将组策略和安全设置应用到特定的对象组。
• 为用户帐户、服务器和非服务器计算机创建不同的 OU。这将大大简化组策略管理。
• 实施一致且定义明确的命名约定。这将使您的 OUse 更易于查找和管理。例如，您可以使用命名约定 OU=[Dept]_[Location-Site]，以便轻松辨别 OU 是为哪个部门和位置创建的。
• 将管理权限委派给 OU。这将使您能够将管理任务分配给适当的用户。谨慎委派以维护安全！
• 记录您的 OU 结构。 全面的文档提供了有关 OU 的结构和使用方式的宝贵见解。现任和未来的管理者都会感激不已。

结论

组织单位是 Active Directory 的一个重要功能。创建组织良好的 OU 结构将简化用户、计算机和组的管理，同时还可以实现更强的安全性。

常问问题

Active Directory 中的 OU 是什么？

Active Directory 中的组织单位是用于组织和管理用户帐户、计算机帐户、打印机、组和其他 AD 对象的容器。 OU 使组织能够根据职能、部门、位置或其他因素组织资源。

安装 Active Directory 时默认创建的唯一 OU 是什么？

Active Directory 安装过程中默认创建的唯一 OU 是域控制器 OU。它在管理称为域控制器的关键服务器方面发挥着至关重要的作用。建议将所有域控制器计算机对象保留在此 OU 中。

如何在 Active Directory 中创建 OU？

要创建 OU，请执行以下步骤：

1. 打开 Active Directory 用户和计算机 (ADUC) 控制台。
2. 右键单击要在其中创建新 OU 的域或 OU。
3. 选择新建，然后选择组织部门。
4. 输入新 OU 的名称。
5. 单击确定。

如何在 Active Directory 中查找 OU？

要查找 OU，请执行以下步骤：

1. 打开 ADUC 控制台。
2. 在左侧窗格中，导航到域或 OU 结构。
3. 使用搜索功能或直观地检查层次结构来找到所需的 OU。

或者，您可以使用 PowerShell cmdlet Get-ADOrganizationalUnit。